信息安全風(fēng)險評估探究的論文

　　1.風(fēng)險評估內(nèi)涵

　　風(fēng)險評估是一項周期性工作，是進(jìn)行風(fēng)險管理。由于風(fēng)險評估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇，從而在一定程度上決定了風(fēng)險管理的成效。風(fēng)險評估可以概括為：

　�、亠L(fēng)險評估是一個技術(shù)與管理的過程。②風(fēng)險評估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險的過程。

　�、埏L(fēng)險評估貫穿于系統(tǒng)建設(shè)生命周期的各階段。

　　2.信息安全風(fēng)險評估方法

　　（1）安全風(fēng)險評估。為確定這種可能性，需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的。風(fēng)險評估以現(xiàn)實系統(tǒng)安全為目的，按照科學(xué)的程序和方法，對系統(tǒng)中的危險要素進(jìn)行充分的定性、定量分析，并作出綜合評價，以便針對存在的問題，根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟條件，提出有效的安全措施，消除危險或?qū)⑽ｋU降到最低程度。即：風(fēng)險評估是對系統(tǒng)存在的固有和潛在危險及風(fēng)險性進(jìn)行定性和定量分析，得出系統(tǒng)發(fā)送危險的可能性和程度評價，以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。

　�。�2）風(fēng)險評估的主要內(nèi)容。

　�、偌夹g(shù)層面。評估和分析網(wǎng)絡(luò)和主機上存在的安全技術(shù)風(fēng)險，包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟、硬件設(shè)備。

　�、诠芾韺用�。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡(luò)系統(tǒng)運行保障措施及其他運行管理規(guī)范等角度，分析業(yè)務(wù)運作和管理方面存在的安全缺陷。

　�。�3）風(fēng)險評估方法。

　　①技術(shù)評估和整體評估。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時地檢查，包括對組織內(nèi)部計算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險評估擴展了上述技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。

　　②定性評估和定量評估。定性分析方法是使用最廣泛的風(fēng)險分析方法。根據(jù)組織本身歷史事件的統(tǒng)計記錄等方法確定資產(chǎn)的價值權(quán)重，威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。

　�、刍�于知識的評估和基于模型的評估。基于知識的風(fēng)險評估方法主要依靠經(jīng)驗進(jìn)行。經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風(fēng)險評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實施計劃。

　　（4）信息安全風(fēng)險的計算。

　�、儆嬎惆踩�事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中，應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。

　�、谟嬎惆踩�事件發(fā)生后的損失。根據(jù)資產(chǎn)價值及脆弱性的嚴(yán)重程度，計算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也不一樣。③計算風(fēng)險值。根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風(fēng)險值。

　　3.風(fēng)險評估模型選擇

　　參考多個國際風(fēng)險評估標(biāo)準(zhǔn)，建立了由安全風(fēng)險管理流程模型、安全風(fēng)險關(guān)系模型和安全風(fēng)險計算模型共同組成的安全風(fēng)險模型（見圖1）。

　�。�1）安全風(fēng)險管理過程模型。

　�、亠L(fēng)險評估過程。信息安全評估包括技術(shù)評估和管理評估。

　�、诎踩�風(fēng)險報告。提交安全風(fēng)險報告，獲知安全風(fēng)險狀況是安全評估的主要目標(biāo)。

　　③風(fēng)險評估管理系統(tǒng)。根據(jù)單位安全風(fēng)險分析與風(fēng)險評估的結(jié)果，建立本單位的風(fēng)險管理系統(tǒng)，將風(fēng)險評估結(jié)果入庫保存，為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。

　�、馨踩�需求分析。根據(jù)本單位安全風(fēng)險評估報告，確定有效安全需求。

　�、莅踩�建議。依據(jù)風(fēng)險評估結(jié)果，提出相關(guān)建議，協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)，結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)，為制定完整動態(tài)的安全解決方案提供參考。

　�、揎L(fēng)險控制。根據(jù)安全風(fēng)險報告，結(jié)合單位特點，針對面對的安全風(fēng)險，分析將面對的安全影響，提供相應(yīng)的風(fēng)險控制建議。

　�、弑O(jiān)控審核。風(fēng)險管理過程中每一個步驟都需要進(jìn)行監(jiān)控和審核程序，保證整個評估過程規(guī)范、安全、可信。

　�、鄿贤ā⒆稍兣c文檔管理。整個風(fēng)險管理過程的溝通、咨詢是保證風(fēng)險評估項目成功實施的關(guān)鍵因素。

　　（2）安全風(fēng)險關(guān)系模型。安全風(fēng)險關(guān)系模型以風(fēng)險為中心，形象地描述了面臨的風(fēng)險、弱點、威脅及其相應(yīng)的資產(chǎn)價值、防護(hù)需求、保護(hù)措施等動態(tài)循環(huán)的復(fù)雜關(guān)系。

　�。�3）安全風(fēng)險計算模型。安全風(fēng)險計算模型中詳細(xì)、具體地提供了風(fēng)險計算的方法，通過威脅級別、威脅發(fā)生的概率及風(fēng)險評估矩陣得出安全風(fēng)險。

　　4.結(jié)語

　　本文在綜合風(fēng)險和比較多種評估標(biāo)準(zhǔn)和方法的基礎(chǔ)上，針對現(xiàn)行網(wǎng)絡(luò)的安全現(xiàn)狀和安全需求，提出了網(wǎng)絡(luò)風(fēng)險評估的模型和風(fēng)險計算方法，以及時發(fā)現(xiàn)、彌補和減少信息安全漏洞，為提高涉密信息系統(tǒng)的安全性，降低網(wǎng)絡(luò)失泄密風(fēng)險提供一定的幫助。

【信息安全風(fēng)險評估探究的論文】相關(guān)文章：

安全風(fēng)險評估報告01-10

手術(shù)室護(hù)理風(fēng)險探究論文10-10

大數(shù)據(jù)時代銀行信息安全保護(hù)探究論文10-11

數(shù)據(jù)安全風(fēng)險評估報告11-25

學(xué)校安全風(fēng)險評估報告04-18

學(xué)校安全風(fēng)險評估報告02-04

對部隊信息網(wǎng)絡(luò)安全管制探究論文10-13

大數(shù)據(jù)信息安全風(fēng)險框架及策略論文10-11

學(xué)校機房信息安全風(fēng)險評估報告范文（通用6篇）11-21

信息系統(tǒng)安全風(fēng)險評估報告范文（精選5篇）11-21